Welche Anforderungen stellt die NIS-2-Richtlinie an betroffene Unternehmen?

1. Risikomanagementmaßnahmen

Verpflichtete Maßnahmen

Betroffene Unternehmen sind verpflichtet,

• geeignete
• verhältnismäßige
• wirksame technische und organisatorische Maßnahmen

zu ergreifen, um Störungen der Verfügbarkeit, Integrität und Vertraulichkeit der Informationssysteme, deren Komponenten und Prozesse, die für die Erbringung ihrer Dienste erforderlich sind, zu vermeiden.

Die Maßnahmen müssen

• den Stand der Technik einhalten
• die einschlägigen europäischen und internationale Normen berücksichtigen
• auf einem gefahrenübergreifenden Ansatz beruhen

Die Risikomanagementmaßnahmen im Rahmen der NIS-2-Richtlinie müssen mindestens Folgendes umfassen:

1. Erstellung von Konzepten: Konzepte zur Risikoanalyse und Sicherheit für Informationssysteme
2. Bewältigung von Sicherheitsvorfällen: Prozesse für die Reaktion auf und die Bewältigung von Sicherheitsvorfällen
3. Betriebsaufrechterhaltung/BCM: Aufrechterhaltung des Betriebs, wie Backup-Management und Wiederherstellung nach einem Notfall, und Krisenmanagement
4. Lieferketten-Sicherheit: Sicherstellung der Sicherheit der Lieferkette, einschließlich Beziehungen zu Anbietern und Dienstanbietern
5. Sichere Entwicklung und Wartung: Sicherheitsmaßnahmen bei Erwerb, Entwicklung und Wartung von Netz- und Informationssystemen, einschließlich Management und Offenlegung von Schwachstellen
6. Wirksamkeitsbewertung: Konzepte und Verfahren zur Bewertung der Wirksamkeit von Risikomanagementmaßnahmen im Bereich der Cybersicherheit
7. Grundlegende Cybersicherheit: Schulungen und Konzepte zur Cyberhygiene
8. Kryptografie: Nutzung von Kryptografie und gegebenenfalls Verschlüsselung
9. Personalsicherheit: Sicherheit des Personals, Konzepte für die Zugriffskontrolle und Management von Anlagen
10. Kommunikation: Gesicherte Sprach-, Video- und Textkommunikation, Notfallkommunikationssysteme

Die Umsetzung dieser Maßnahmen sind sehr komfortabel mit unserer Software EDIRA möglich. EDIRA beinhaltet nicht nur die notwendigen Dokumentationsvorlagen, sondern bietet ebenso Funktionen wie beispielsweise eine leicht zu bedienende Risikobewertung.

Durchführungsverordnung

Die Durchführungsverordnung formuliert und präzisiert die in Artikel 21 der NIS2-Richtlinie festgelegten Mindestanforderungen für Risikomanagementmaßnahmen und ist bereits am 07.11.2024 in Kraft getreten. Da es sich um eine EU-Verordnung handelt, gilt sie unmittelbar und muss nicht in die nationale Gesetzgebung überführt werden. Achtung: Die Regelungen betreffen nur die in der Durchführungsverordnung adressierten Einrichtungen.

2. Registrierung und Meldepflichten

Registrierung

Unternehmen müssen ihre NIS-2-Betroffenheit eigenständig identifizieren. Spätestens drei Monate, nachdem sie erstmals oder erneut als betroffen gelten, müssen sie sich beim Bundesamt für Sicherheit in der Informationstechnik (BSI) registrieren. Eine Registrierung als „besonders wichtige Einrichtung“ oder „wichtige Einrichtung“  wird erst nach Inkrafttreten der nationalen Regelungen möglich sein. Das BSI plant eine digitalisierte Online-Portallösung für die Registrierung.

Meldepflichten

Das BSI agiert als zentrale Meldestelle und stellt hier eine Online-Portallösung zur Meldung bereit. Besonders wichtige und wichtige Einrichtungen müssen dem BSI erhebliche Sicherheitsvorfälle melden.

Was ist ein erheblicher Sicherheitsvorfall?

Ein erheblicher Sicherheitsvorfall liegt dann vor, wenn es zu schwerwiegenden Betriebsstörungen der Dienste gekommen ist oder finanzielle Verluste für die betreffende Einrichtung entstanden sind oder noch entstehen können. Auch Vorfälle, die andere Personen oder Betreiber erheblich beeinträchtigen können, zählen zu den meldepflichtigen Vorfällen. Dabei kann es sich um materielle oder immaterielle Schäden handeln.

Wann muss gemeldet werden?

Sobald Kenntnis über einen erheblichen Sicherheitsvorfall besteht, sind folgende Meldefristen einzuhalten:

• < 24 h Erstmeldung:
  Meldung des Verdachts über rechtswidrige Handlungen, Betroffene Einrichtung, Auswirkung, Dauer
• 72 h Bestätigung:
  Bestätigung und Aktualisierung des Sicherheitsvorfalls inklusive Bewertung des Schweregrades und Auswirkungen
• Zwischenmeldungen:
  Auf Ersuchen des BSI kann es zur Aufforderung von Zwischenmeldungen geben.
• Nach 30 Tagen Abschlussmeldung:
  Ausführliche Beschreibung des Vorfalls, Schweregrad und Auswirkungen, Angaben zur Bedrohungsart, Abhilfemaßnahmen, grenzüberschreitende Auswirkungen. Abschlussmeldung, wenn der Vorfall beendet ist, andernfalls Folgemeldung

Ein Meldevorgang ist erst dann beendet, wenn das Unternehmen bzw. der Betreiber den Vorfall beseitigt und eine Abschlussmeldung beim BSI abgegeben hat.

3. Verantwortung und Haftung der Geschäftsleitung

Die Geschäftsleitung muss geforderte Risikomanagementmaßnahmen umsetzen und überwachen. Zudem haftet sie für Verstöße nach den Regeln des jeweiligen Gesellschaftsrechts.

4. Schulung und Sensibilisierung

Schulung der Geschäftsleitung

Geschäftsleitungen müssen regelmäßig an Informationssicherheitsschulungen teilnehmen, um ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken und Risikomanagmentmaßnahmen erlangen.

Schulung der Beschäftigten

Beschäftigte sollen mit den grundlegenden Anforderungen der Informationssicherheit vertraut gemacht werden, um sie über deren Auswirkungen auf ihre Arbeitsplätze zu informieren. Ziel der Schulungen ist es, das Verständnis für die durch Cyberangriffe entstehenden Risiken zu fördern und die Mitarbeiter dazu zu befähigen, aktiv zur Umsetzung der Sicherheitsmaßnahmen beizutragen.

Schulungsplattform ETES Education

Mit unserer Schulungsplattform ETES Education lassen sich orts- und zeitunabhängig Schulungen zu den Themenbereichen Informationssicherheit, Datenschutz und Social Engineering durchführen. Mithilfe von Videos und Tests erwerben Leitungskräfte und Mitarbeiter entsprechende Kenntnisse zum Umgang mit IT-Sicherheitsvorfällen und Phishing sowie Basiskenntnisse. Die Schulungsplattform kann darüber hinaus mit eigenen unternehmensspezifischen Inhalten erweitert werden.

5. Überwachung und Nachweise

Betreiber kritischer Anlagen

Betreiber kritischer Anlagen haben die Umsetzung der Maßnahmen  frühestens drei Jahre nachdem sie erstmals oder spätestens drei Jahre nachdem sie erneut als ein Betreiber einer kritischen Anlage gelten, und anschließend alle drei Jahre dem Bundesamt durch Sicherheitsaudits, Prüfungen oder Zertifizierungen nachzuweisen.

Besonders wichtige Einrichtungen

Gegenüber den anderen besonders wichtigen Einrichtungen kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) frühestens 3 Jahre nach Inkrafttreten der nationalen Gesetzgebung die Vorlage von Nachweisen anordern.

Wichtige Einrichtungen

Stellt das BSI fest, dass eine wichtige Einrichtung den geforderten Verpflichtungen zum Risikomanagement nicht angemessen nachkommt, so kann das Bundesamt deren Einhaltung überprüfen und Aufsichts- und Durchsetzungsmaßnahmen treffen.

Fazit

Die NIS2-Richtlinie stellt Unternehmen, die als „betroffen“ eingestuft werden, vor neue Anforderungen im Bereich der Cybersicherheit. Kernpunkte sind die Implementierung umfassender Risikomanagementmaßnahmen, die den Stand der Technik berücksichtigen, sowie die Meldepflicht bei Sicherheitsvorfällen. Unternehmen müssen sich innerhalb von drei Monaten nach Feststellung der Betroffenheit registrieren und anschließend in regelmäßigen Abständen durch Sicherheitsaudits oder Zertifizierungen Nachweise erbringen. Die Geschäftsleitung ist für die Umsetzung und Überwachung dieser Maßnahmen sowie für die daraus resultierenden Haftungen verantwortlich. Um die Risiken zu minimieren, sind eine kontinuierliche Schulung und Sensibilisierung der Mitarbeitenden sowie die Förderung der Zusammenarbeit mit dem BSI unerlässlich.